Lavoro

Articolo 72 AI Act: cosa chiede davvero il monitoraggio post-market

undefined

In sintesi

  • L’Articolo 72 AI Act impone un monitoraggio continuo dei sistemi AI dopo il deployment, non solo in fase di sviluppo
  • Le aziende devono documentare incidenti, malfunzionamenti e derive prestazionali entro 72 ore
  • Il post-market monitoring richiede metriche specifiche e processi di governance strutturati
  • Le sanzioni per inadempienza possono arrivare fino al 6% del fatturato globale annuo

Il sistema AI è in produzione da sei mesi. Funziona bene, i KPI sono positivi, il board è soddisfatto. Poi arriva la notifica: un audit ha rilevato che manca completamente il sistema di monitoraggio post-deployment richiesto dall’Articolo 72 AI Act. Risultato? Non solo una sanzione salata, ma l’obbligo di sospendere il sistema fino all’adeguamento. Mesi di lavoro vanificati per un aspetto che sembrava secondario.

Questa situazione sta diventando sempre più frequente nelle aziende italiane che hanno implementato soluzioni AI senza considerare gli obblighi di monitoraggio continuo. L’Articolo 72 del regolamento europeo sull’intelligenza artificiale non è una formalità burocratica: è un requisito operativo che cambia radicalmente come le organizzazioni devono gestire i sistemi AI dopo il go-live.

Post-market monitoring: oltre la compliance formale

Il post-market monitoring richiesto dall’Articolo 72 AI Act va ben oltre la semplice raccolta di log tecnici. Le aziende devono implementare un sistema strutturato di osservazione che copra performance, bias emergenti, derive comportamentali e impatti non previsti sui processi aziendali.

Un’azienda manifatturiera lombarda che utilizza AI per l’ottimizzazione della produzione deve monitorare non solo l’accuratezza delle previsioni, ma anche come il sistema influenza le decisioni operative, se emergono pattern discriminatori verso determinati fornitori, se si verificano degradi prestazionali in condizioni specifiche.

Il monitoraggio deve essere proattivo, non reattivo. Significa definire soglie di allarme, metriche di riferimento, processi di escalation. E soprattutto, deve produrre documentazione audit-ready che dimostri la conformità continua agli standard richiesti.

Obblighi AI: cosa documentare e quando

Gli obblighi AI previsti dall’Articolo 72 sono specifici e stringenti. Ogni incidente serio deve essere notificato alle autorità competenti entro 72 ore. Ma cosa costituisce un “incidente serio”? La normativa include malfunzionamenti che potrebbero causare danni a persone o proprietà, violazioni di diritti fondamentali, discriminazioni sistematiche.

La documentazione richiesta comprende:

  • Registro degli incidenti con classificazione per gravità e impatto
  • Report periodici sulle performance del sistema rispetto ai benchmark iniziali
  • Analisi delle derive comportamentali e delle azioni correttive intraprese
  • Evidenze delle revisioni periodiche del risk assessment
  • Tracciabilità delle modifiche al sistema e loro validazione

Un sistema di credit scoring basato su AI, per esempio, deve documentare ogni caso in cui il modello produce risultati anomali, monitorare continuamente i tassi di rifiuto per diverse categorie demografiche, registrare ogni modifica agli algoritmi o ai dati di training.

Metriche e KPI del post-market monitoring AI

Secondo una ricerca di Gartner del 2024, solo il 23% delle aziende europee ha implementato metriche adeguate per il post-market monitoring dei sistemi AI. In Italia, la percentuale scende al 18%, con le PMI particolarmente indietro nell’adozione di sistemi strutturati.

Le metriche richieste dall’Articolo 72 AI Act devono coprire quattro dimensioni principali:

Dimensione Metriche chiave Frequenza minima
Performance tecnica Accuratezza, latenza, disponibilità Continua
Fairness e bias Disparità tra gruppi, drift detection Mensile
Sicurezza Tentativi di manipolazione, vulnerabilità Settimanale
Impatto business ROI, customer satisfaction, process efficiency Trimestrale

Il monitoraggio deve essere automatizzato dove possibile, ma richiede anche revisioni umane periodiche. Un sistema di raccomandazione e-commerce deve tracciare non solo il click-through rate, ma anche se sta creando “filter bubble” che limitano la diversità delle proposte ai clienti.

Governance continua: chi fa cosa nel monitoraggio AI

La governance del post-market monitoring non può essere delegata solo all’IT. L’Articolo 72 AI Act richiede un approccio multidisciplinare che coinvolga business, compliance, legal e operations. Ogni funzione ha responsabilità specifiche nel processo di monitoraggio continuo.

Il responsabile AI (figura sempre più diffusa nelle aziende italiane) deve coordinare le attività di monitoraggio, ma serve un comitato di governance che includa rappresentanti delle diverse aree aziendali. Questo comitato deve riunirsi regolarmente per valutare i report di monitoraggio, decidere su azioni correttive, approvare modifiche ai sistemi.

Un’azienda del settore assicurativo del Nord-Est ha strutturato il proprio sistema di governance AI con riunioni mensili del comitato, report settimanali automatizzati, e un sistema di alert che notifica immediatamente anomalie critiche a un team di risposta dedicato. Questo approccio ha permesso di identificare e correggere tre derive algoritmiche significative prima che causassero danni reputazionali o compliance.

Costi e benefici degli obblighi AI di monitoraggio

Implementare un sistema di post-market monitoring conforme all’Articolo 72 AI Act richiede investimenti significativi. Le stime parlano di un costo aggiuntivo del 15-25% rispetto al budget iniziale del progetto AI. Ma i costi della non-conformità sono molto più elevati: sanzioni fino al 6% del fatturato globale, stop operativi, danni reputazionali.

I benefici vanno oltre la compliance. Un monitoraggio strutturato migliora le performance del sistema nel tempo, previene derive costose, aumenta la fiducia degli stakeholder. Aziende che hanno implementato sistemi di monitoraggio robusti riportano una riduzione del 40% degli incidenti AI e un miglioramento del 25% nelle metriche di performance dopo il primo anno.

Per prepararsi adeguatamente all’entrata in vigore completa della normativa, è fondamentale comprendere il quadro complessivo dell’EU AI Act azienda e pianificare un percorso di adeguamento strutturato.

Conclusione operativa

L’Articolo 72 AI Act trasforma il monitoraggio dei sistemi AI da attività opzionale a requisito mandatorio con implicazioni legali e operative concrete. Le aziende che sottovalutano questi obblighi rischiano non solo sanzioni pesanti, ma anche l’interruzione forzata di sistemi critici per il business.

Il post-market monitoring richiede un cambio di mentalità: l’AI non è un progetto che si conclude con il deployment, ma un processo continuo che richiede governance, metriche, documentazione costante. Le organizzazioni che strutturano ora questi processi avranno un vantaggio competitivo significativo quando la normativa entrerà pienamente in vigore.

Per navigare efficacemente questi requisiti e costruire una strategia AI compliant e sostenibile, approfondisci le linee guida complete nella nostra guida operativa all’Act azienda.

FAQ

Quali sistemi AI sono soggetti all’Articolo 72 AI Act?

Tutti i sistemi AI ad alto rischio devono rispettare i requisiti di post-market monitoring. Questo include sistemi utilizzati in ambito HR, credit scoring, gestione infrastrutture critiche, sanità. Anche sistemi a rischio limitato hanno obblighi di monitoraggio, seppur meno stringenti.

Quanto tempo ho per notificare un incidente secondo l’Articolo 72?

Gli incidenti gravi devono essere notificati entro 72 ore dal momento in cui l’organizzazione ne viene a conoscenza. La notifica deve includere una descrizione preliminare dell’incidente, le misure immediate adottate e un piano di remediation.

Il post-market monitoring è richiesto anche per sistemi AI già in produzione?

Sì, i sistemi esistenti dovranno essere adeguati entro i termini transitori previsti dalla normativa. Non è prevista alcuna esenzione per sistemi legacy, che dovranno implementare retroattivamente i meccanismi di monitoraggio richiesti.

Chi è responsabile legalmente del post-market monitoring in azienda?

La responsabilità ultima ricade sul deployer del sistema AI, tipicamente l’azienda che utilizza il sistema. Anche se il fornitore ha obblighi di supporto al monitoraggio, l’utilizzatore finale deve garantire la conformità operativa.

Quali sono le sanzioni per inadempienza agli obblighi AI di monitoraggio?

Le sanzioni possono arrivare fino al 6% del fatturato mondiale annuo o 30 milioni di euro (il maggiore tra i due) per violazioni gravi. Violazioni minori comportano sanzioni fino al 3% del fatturato o 15 milioni di euro.

Posso delegare il post-market monitoring a un fornitore esterno?

È possibile esternalizzare l’esecuzione operativa del monitoraggio, ma la responsabilità legale rimane in capo all’azienda utilizzatrice. Il contratto con il fornitore deve specificare chiaramente ruoli, responsabilità e SLA per garantire la conformità.

Come dimostro la conformità all’Articolo 72 durante un audit?

Serve documentazione strutturata che includa: policy di monitoraggio, log degli incidenti, report periodici sulle metriche, evidenze delle azioni correttive, verbali delle riunioni di governance, certificazioni dei sistemi di monitoraggio utilizzati.

Gli obblighi AI di monitoraggio valgono anche per PMI?

Sì, non esistono esenzioni basate sulla dimensione aziendale. Tuttavia, la Commissione Europea sta valutando strumenti di supporto specifici per PMI, inclusi template standardizzati e linee guida semplificate per facilitare la compliance.

EU AI Act 2026: Guida Essenziale al Piano Operativo per le Aziende

Indice dei contenuti

Indice dei contenuti